Итак, за найденную уязвимость в iOS в Zerodium готовы заплатить 500 тысяч долларов. Обнаружившим возможность неавторизованного доступа в Windows Phone или Android заплатят 100 тысяч долларов. Уязвимости в браузерах приносят меньше: 80 тысяч долларов за дыру в Google Chrome и 50 тысяч долларов – за бреши в Internet Explorer или Safari. А за найденную брешь в открытых блог-платформах или форумных движках можно получить всего 5 тысяч долларов.
Впрочем, иногда хакеры получают от Zerodium и более крупные суммы. Так, две недели назад компания заявила, что по ее заказу впервые был осуществлен удаленный взлом iOS 9. За это киберпреступники были вознаграждены миллионом долларов.
Схема работы Zerodium достаточно необычная. Чтобы купить данные, разработчики программного обеспечения и государственные ведомства должны сначала оформить платную подписку на услуги стартапа. И это работает: так, по слухам, Apple в сентябре отложила выпуск второй версии операционной системы для Apple Watch именно из-за того, что получила от Zerodium информацию об уязвимости в программном обеспечении.
В компании утверждают, что значительная часть уязвимостей в программном обеспечении обнаруживается с помощью брешей нулевого дня. Против таких инструментов хакинга, являющихся фактически вредоносными программами, пока не разработаны эффективные защитные механизмы.
К слову, Чауки Бекрар, основатель Zerodium, ранее возглавлял другой аналогичный стартап – Vupen. Он закупал у хакеров информацию об уязвимостях в программном обеспечении и перепродавал их госструктурам стран-членов НАТО. По инсайдерской информации, в числе клиентов Vupen было Агентство национальной безопасности США и другие организации подобного уровня.